Estrutura de proteção de dados usando políticas de proteção de aplicativo
À medida que mais organizações implementam estratégias de dispositivo móvel para acessar dados escolares ou de trabalho, a proteção contra o vazamento de dados torna-se primordial. A solução de gerenciamento de aplicativos móveis da Intune para proteger contra vazamento de dados é o APP (App Protection Policies). O APP são regras que garantem que os dados de uma organização permaneçam seguros ou contidos em um aplicativo gerenciado, independentemente de o dispositivo estar registrado. Para obter mais informações, consulte visão geral Proteção de aplicativos políticas.
Ao configurar políticas de proteção de aplicativo, o número de várias configurações e opções permite que as organizações adaptem a proteção às suas necessidades específicas. Devido a essa flexibilidade, pode não ser óbvio qual permutação das configurações de política é necessária para implementar um cenário completo. Para ajudar as organizações a priorizar esforços de endurecimento do ponto de extremidade do cliente, a Microsoft introduziu uma nova taxonomia para configurações de segurança no Windows 10 e Intune está aproveitando uma taxonomia semelhante para sua estrutura de proteção de dados app para gerenciamento de aplicativos móveis.
A estrutura de configuração de proteção de dados do APP é organizada em três cenários de configuração distintos:
Proteção de dados básica empresarial de nível 1 – a Microsoft recomenda essa configuração como a configuração mínima de proteção de dados para um dispositivo corporativo.
Proteção de dados aprimorada da empresa de nível 2 – a Microsoft recomenda essa configuração para dispositivos em que os usuários acessam informações confidenciais ou confidenciais. Essa configuração é aplicável à maioria dos usuários móveis que acessam dados de trabalho ou escola. Alguns dos controles poderão afetar a experiência do usuário.
Proteção de dados alta corporativa de nível 3 – a Microsoft recomenda essa configuração para dispositivos executados por uma organização com uma equipe de segurança maior ou mais sofisticada, ou para usuários ou grupos específicos que estejam em risco exclusivamente alto (usuários que lidam com dados altamente confidenciais em que a divulgação não autorizada causa uma perda material considerável para a organização). Uma organização que provavelmente será alvo de adversários bem financiados e sofisticados deve aspirar a essa configuração.
Metodologia de implantação do APP Data Protection Framework
Como acontece com qualquer implantação de novos softwares, recursos ou configurações, a Microsoft recomenda investir em uma metodologia de anel para testar a validação antes de implantar a estrutura de proteção de dados do APP. Definir anéis de implantação geralmente é um evento único (ou pelo menos pouco frequente), mas a TI deve revisitar esses grupos para garantir que o sequenciamento ainda esteja correto.
A Microsoft recomenda a seguinte abordagem de anel de implantação para a estrutura de proteção de dados do APP:
Anel de implantação | Tenant | Equipes de avaliação | Saída | Linha do tempo |
---|---|---|---|---|
Garantia de qualidade | Locatário de pré-produção | Proprietários de capacidades móveis, segurança, avaliação de risco, privacidade, UX | Validação de cenário funcional, documentação de rascunho | 0 a 30 dias |
Visualização | Locatário de produção | Proprietários de capacidades móveis, UX | Validação de cenário do usuário final, documentação voltada para o usuário | 7 a 14 dias, após a Garantia de Qualidade |
Produção | Locatário de produção | Proprietários de capacidades móveis, suporte técnico de TI | N/D | 7 dias a várias semanas, após a Versão Prévia |
Como indica a tabela acima, todas as alterações nas Políticas de Proteção de Aplicativo devem ser executadas primeiro em um ambiente de pré-produção para entender as implicações da configuração da política. Depois que o teste for concluído, as alterações poderão ser movidas para produção e aplicadas a um subconjunto de usuários de produção, em geral, ao departamento de TI e a outros grupos aplicáveis. Por fim, a distribuição pode ser concluída para o restante da comunidade de usuários móveis. A distribuição para a produção pode levar um tempo maior, dependendo da escala de impacto em relação à alteração. Se não houver impacto do usuário, a alteração deverá ser implementada rapidamente, enquanto que, se a alteração resultar no impacto do usuário, a distribuição poderá precisar ser mais lenta devido à necessidade de comunicar alterações à população de usuários.
Ao testar alterações em um APLICATIVO, esteja ciente do tempo de entrega. O status de entrega de APLICATIVO para um determinado usuário pode ser monitorado. Para obter mais informações, consulte Como monitorar políticas de proteção de aplicativos.
As configurações individuais do APP para cada aplicativo podem ser validadas em dispositivos usando o Microsoft Edge e a URL about:Intunehelp. Para obter mais informações, consulte Examinar logs de proteção do aplicativo cliente e usar o Microsoft Edge para iOS e Android para acessar logs de aplicativos gerenciados.
Configurações da Estrutura de Proteção de Dados do APP
As seguintes configurações da Política de Proteção de Aplicativo devem ser habilitadas para os aplicativos aplicáveis e atribuídas a todos os usuários móveis. Para obter mais informações sobre cada configuração de política, consulte configurações de política de proteção de aplicativo iOS e configurações de política de proteção de aplicativo Android.
A Microsoft recomenda revisar e categorizar cenários de uso e configurar usuários usando as diretrizes prescritivas para esse nível. Assim como em qualquer estrutura, as configurações dentro de um nível correspondente podem precisar ser ajustadas com base nas necessidades da organização, pois a proteção de dados deve avaliar o ambiente de ameaça, o apetite por risco e o impacto na usabilidade.
Os administradores podem incorporar os níveis de configuração abaixo em sua metodologia de implantação de anel para teste e uso de produção importando o exemplo Intune modelos JSON da Estrutura de Configuração de Política de Proteção de Aplicativo com scripts do PowerShell do Intune.
Observação
Ao usar o MAM para Windows, consulte Proteção de aplicativos configurações de política para Windows.
Políticas de acesso condicional
Para garantir que apenas aplicativos com suporte às Polícias de Proteção de Aplicativo acessem dados de conta corporativa ou escolar, Microsoft Entra políticas de acesso condicional são necessárias. Essas políticas estão descritas em Acesso Condicional: exigir aplicativos cliente aprovados ou política de proteção de aplicativo.
Consulte Exigir aplicativos cliente aprovados ou política de proteção de aplicativo com dispositivos móveis no Acesso Condicional: exigir aplicativos cliente aprovados ou política de proteção de aplicativo para executar as políticas específicas. Por fim, implemente as etapas em Bloquear autenticação herdada para bloquear aplicativos iOS e Android com capacidade de autenticação herdada.
Observação
Essas políticas aproveitam os controles de concessão Exigir aplicativo cliente aprovado e Exigir política de proteção de aplicativo.
Aplicativos a serem incluídos nas Políticas de Proteção de Aplicativos
Para cada Política de Proteção de Aplicativo, o grupo Core Microsoft Apps é direcionado, o que inclui os seguintes aplicativos:
- Microsoft Edge
- Excel
- Office
- OneDrive
- OneNote
- Outlook
- PowerPoint
- SharePoint
- Teams
- To Do
- Word
As políticas devem incluir outros aplicativos da Microsoft com base na necessidade de negócios, aplicativos públicos adicionais de terceiros que integraram o Intune SDK usado na organização, bem como aplicativos de linha de negócios que integraram o SDK Intune (ou foram encapsulados).
Proteção de dados básica da empresa nível 1
O nível 1 é a configuração mínima de proteção de dados para um dispositivo móvel empresarial. Essa configuração substitui a necessidade de políticas básicas de acesso ao dispositivo Exchange Online, exigindo que um PIN acesse dados de trabalho ou escola, criptografando os dados da conta corporativa ou escolar e fornecendo a capacidade de apagar seletivamente os dados escolares ou de trabalho. No entanto, ao contrário Exchange Online políticas de acesso ao dispositivo, as configurações abaixo da Política de Proteção de Aplicativo se aplicam a todos os aplicativos selecionados na política, garantindo assim que o acesso a dados seja protegido além dos cenários de mensagens móveis.
As políticas no nível 1 impõem um nível razoável de acesso a dados, minimizando o impacto aos usuários e espelho as configurações padrão de proteção de dados e requisitos de acesso ao criar uma Política de Proteção de Aplicativo dentro de Microsoft Intune.
Proteção de dados
Setting | Descrição da configuração | Valor | Plataforma |
---|---|---|---|
Transferência de dados | Fazer backup dos dados da organização para... | Permitir | iOS/iPadOS, Android |
Transferência de dados | Enviar dados da organização para outros aplicativos | Todos os aplicativos | iOS/iPadOS, Android |
Transferência de dados | Enviar dados da organização para | Todos os destinos | Windows |
Transferência de dados | Receber dados de outros aplicativos | Todos os aplicativos | iOS/iPadOS, Android |
Transferência de dados | Receber dados de | Todas as fontes | Windows |
Transferência de dados | Restringir corte, cópia e colar entre aplicativos | Qualquer aplicativo | iOS/iPadOS, Android |
Transferência de dados | Permitir corte, cópia e colar para | Qualquer destino e qualquer fonte | Windows |
Transferência de dados | Teclados de terceiros | Permitir | iOS/iPadOS |
Transferência de dados | Teclados aprovados | Não é necessário | Android |
Transferência de dados | Captura de tela e Google Assistente | Permitir | Android |
Criptografia | Criptografar dados da organização | Exigir | iOS/iPadOS, Android |
Criptografia | Criptografar dados da organização em dispositivos registrados | Exigir | Android |
Funcionalidade | Sincronizar aplicativo com o aplicativo de contatos nativos | Permitir | iOS/iPadOS, Android |
Funcionalidade | Imprimir dados da organização | Permitir | iOS/iPadOS, Android, Windows |
Funcionalidade | Restringir a transferência de conteúdo Web com outros aplicativos | Qualquer aplicativo | iOS/iPadOS, Android |
Funcionalidade | Notificações de dados da organização | Permitir | iOS/iPadOS, Android |
Requisitos de acesso
Setting | Valor | Plataforma | Observações |
---|---|---|---|
PIN para acesso | Exigir | iOS/iPadOS, Android | |
Tipo de PIN | Numérico | iOS/iPadOS, Android | |
PIN simples | Permitir | iOS/iPadOS, Android | |
Selecione Comprimento mínimo do PIN | 4 | iOS/iPadOS, Android | |
ID de toque em vez de PIN para acesso (iOS 8+/iPadOS) | Permitir | iOS/iPadOS | |
Substituir a biometria com PIN após o tempo limite | Exigir | iOS/iPadOS, Android | |
Tempo limite (minutos de atividade) | 1440 | iOS/iPadOS, Android | |
ID facial em vez de PIN para acesso (iOS 11+/iPadOS) | Permitir | iOS/iPadOS | |
Biometria em vez de PIN para acesso | Permitir | iOS/iPadOS, Android | |
Redefinir PIN após número de dias | Não | iOS/iPadOS, Android | |
Selecione o número de valores PIN anteriores para manter | 0 | Android | |
PIN do aplicativo quando o PIN do dispositivo for gerenciado | Exigir | iOS/iPadOS, Android | Se o dispositivo estiver registrado no Intune, os administradores poderão considerar definir isso como "Não necessário" se estiverem aplicando um PIN de dispositivo forte por meio de uma política de conformidade do dispositivo. |
Credenciais de conta corporativa ou de estudante para acesso | Não é necessário | iOS/iPadOS, Android | |
Verificar novamente os requisitos de acesso após (minutos de inatividade) | 30 | iOS/iPadOS, Android |
Inicialização condicional
Setting | Descrição da configuração | Valor/Ação | Plataforma | Observações |
---|---|---|---|---|
Condições do aplicativo | Máximo de tentativas de PIN | 5 / Redefinir PIN | iOS/iPadOS, Android | |
Condições do aplicativo | Período de cortesia offline | 1440 / Bloquear acesso (minutos) | iOS/iPadOS, Android, Windows | |
Condições do aplicativo | Período de cortesia offline | 90 / Apagar dados (dias) | iOS/iPadOS, Android, Windows | |
Condições do dispositivo | Dispositivos com jailbreak/desbloqueados por rooting | N/A / Bloquear acesso | iOS/iPadOS, Android | |
Condições do dispositivo | Atestado de dispositivo SafetyNet | Integridade básica e dispositivos certificados / Bloquear acesso | Android | Essa configuração configura a integridade do dispositivo do Google Play marcar em dispositivos de usuário final. A integridade básica valida a integridade do dispositivo. Dispositivos desbloqueados por rooting, emuladores, dispositivos virtuais e dispositivos com sinais de falsificação apresentam falha na integridade básica. A integridade básica e dispositivos certificados validam a compatibilidade do dispositivo com os serviços do Google. Somente dispositivos não modificados que foram certificados pelo Google podem ser aprovados nessa verificação. |
Condições do dispositivo | Exigir verificação de ameaças em aplicativos | N/A / Bloquear acesso | Android | Essa configuração garante que o exame Verificar Aplicativos do Google esteja ativado para dispositivos de usuário final. Se configurado, o usuário final será bloqueado do acesso até ativar a verificação de aplicativo do Google em seu dispositivo Android. |
Condições do dispositivo | Nível máximo permitido de ameaça ao dispositivo | Acesso baixo/bloquear | Windows | |
Condições do dispositivo | Exigir bloqueio de dispositivo | Baixa/Avisa | Android | Essa configuração garante que os dispositivos Android tenham uma senha de dispositivo que atenda aos requisitos mínimos de senha. |
Observação
As configurações de inicialização condicional do Windows são rotuladas como Verificações de Integridade.
Proteção de dados aprimorada da empresa de nível 2
O nível 2 é a configuração de proteção de dados recomendada como um padrão para dispositivos em que os usuários acessam informações mais confidenciais. Atualmente, esses dispositivos são um alvo natural nas empresas. Essas recomendações não assumem uma grande equipe de profissionais de segurança altamente qualificados e, portanto, devem estar acessíveis à maioria das organizações empresariais. Essa configuração se expande após a configuração no Nível 1 restringindo cenários de transferência de dados e exigindo uma versão mínima do sistema operacional.
As configurações de política impostas no nível 2 incluem todas as configurações de política recomendadas para o nível 1. No entanto, o Nível 2 lista apenas as configurações que foram adicionadas ou alteradas para implementar mais controles e uma configuração mais sofisticada do que o nível 1. Embora essas configurações possam ter um impacto um pouco maior para os usuários ou para aplicativos, elas impõem um nível de proteção de dados mais proporcional aos riscos enfrentados pelos usuários com acesso a informações confidenciais em dispositivos móveis.
Proteção de dados
Setting | Descrição da configuração | Valor | Plataforma | Observações |
---|---|---|---|---|
Transferência de dados | Fazer backup dos dados da organização para... | Bloquear | iOS/iPadOS, Android | |
Transferência de dados | Enviar dados da organização para outros aplicativos | Aplicativos gerenciados por política | iOS/iPadOS, Android | Com o iOS/iPadOS, os administradores podem configurar esse valor como "Aplicativos gerenciados por política", "Aplicativos gerenciados por política com compartilhamento de sistema operacional" ou "Aplicativos gerenciados por política com filtragem Open-In/Share". Aplicativos gerenciados por política com compartilhamento de sistema operacional estão disponíveis quando o dispositivo também está registrado com Intune. Essa configuração permite a transferência de dados para outros aplicativos gerenciados por política e transferências de arquivos para outros aplicativos gerenciados por Intune. Aplicativos gerenciados por políticas com filtragem Open-In/Share filtram as caixas de diálogo Open-in/Share do sistema operacional para exibir apenas aplicativos gerenciados por política. Para obter mais informações, consulte configurações de política de proteção de aplicativo iOS. |
Transferência de dados | Enviar ou dados para | Nenhum destino | Windows | |
Transferência de dados | Receber dados de | Nenhuma fonte | Windows | |
Transferência de dados | Selecionar aplicativos para isentar | Padrão/skype; configurações do aplicativo; calshow; Itms; itmss; itms-apps; itms-apps; itms-services; | iOS/iPadOS | |
Transferência de dados | Salvar cópias de dados da organização | Bloquear | iOS/iPadOS, Android | |
Transferência de dados | Permitir que os usuários salvem cópias em serviços selecionados | OneDrive for Business, SharePoint Online, Biblioteca de Fotos | iOS/iPadOS, Android | |
Transferência de dados | Transferir dados de telecomunicações para | Qualquer aplicativo discador | iOS/iPadOS, Android | |
Transferência de dados | Restringir corte, cópia e colar entre aplicativos | Aplicativos gerenciados por política com colar em | iOS/iPadOS, Android | |
Transferência de dados | Permitir corte, cópia e colar para | Nenhum destino ou origem | Windows | |
Transferência de dados | Captura de tela e Google Assistente | Bloquear | Android | |
Funcionalidade | Restringir a transferência de conteúdo Web com outros aplicativos | Microsoft Edge | iOS/iPadOS, Android | |
Funcionalidade | Notificações de dados da organização | Bloquear dados da Organização | iOS/iPadOS, Android | Para obter uma lista de aplicativos que dão suporte a essa configuração, consulte configurações de política de proteção de aplicativo iOS e configurações de política de proteção de aplicativo Android. |
Inicialização condicional
Setting | Descrição da configuração | Valor/Ação | Plataforma | Observações |
---|---|---|---|---|
Condições do aplicativo | Conta desabilitada | N/A / Bloquear acesso | iOS/iPadOS, Android, Windows | |
Condições do dispositivo | Versão mínima do sistema operacional | Formato: Major.Minor.Build Exemplo: 14.8 / Bloquear acesso |
iOS/iPadOS | A Microsoft recomenda configurar a versão principal mínima do iOS de modo a corresponder às versões do iOS compatíveis com os aplicativos da Microsoft. Os aplicativos da Microsoft dão suporte a uma abordagem N-1 em que N é a versão de lançamento principal do iOS atual. Para valores de versão secundária e de build, a Microsoft recomenda garantir que os dispositivos estejam atualizados com os respectivos patches de segurança. Confira Atualizações de segurança da Apple para as recomendações mais recentes da Apple |
Condições do dispositivo | Versão mínima do sistema operacional | Formato: Major.Minor Exemplo: 9.0 / Bloquear acesso |
Android | A Microsoft recomenda configurar a versão principal do Android mínima a fim de corresponder às versões do Android com suporte para aplicativos da Microsoft. Os OEMs e os dispositivos que seguem os requisitos recomendados do Android Enterprise devem dar suporte à atualização da versão de remessa atual + uma letra. Atualmente, o Android recomenda o Android 9.0 e versões posteriores para trabalhadores de conhecimento. Consulte Requisitos recomendados do Android Enterprise para as recomendações mais recentes do Android |
Condições do dispositivo | Versão mínima do sistema operacional | Formato: Build Exemplo: 10.0.22621.2506 / Bloquear acesso |
Windows | A Microsoft recomenda configurar o build mínimo do Windows para corresponder às versões do Windows com suporte para aplicativos da Microsoft. Atualmente, a Microsoft recomenda o seguinte:
|
Condições do dispositivo | Versão do patch min | Formato: YYYYY-MM-DD Exemplo: 2020-01-01 / Bloquear acesso |
Android | Os dispositivos Android podem receber patches de segurança mensais, mas a versão depende dos OEMs e/ou das operadoras. As organizações devem garantir que os dispositivos Android implantados recebam patches de segurança antes de implementar essa configuração. Consulte Boletins de Segurança do Android para ver as versões mais recentes do patch. |
Condições do dispositivo | Tipo de avaliação SafetyNet obrigatória | Chave com backup em hardware | Android | O atestado com suporte em hardware aprimora o serviço play integrity do Google existente marcar aplicando um novo tipo de avaliação chamado Backup de Hardware, fornecendo uma detecção raiz mais robusta em resposta a tipos mais recentes de ferramentas e métodos de raiz que nem sempre podem ser detectados de forma confiável por uma solução somente de software. Como o nome indica, o atestado com suporte de hardware usa um componente baseado em hardware, que foi enviado com dispositivos instalados com o Android 8.1 e posterior. Os dispositivos que foram atualizados de uma versão mais antiga do Android para a Android 8.1 provavelmente não têm os componentes baseados em hardware necessários para o atestado com suporte de hardware. Embora essa configuração deva ser amplamente compatível a partir de dispositivos fornecidos com o Android 8.1, a Microsoft recomenda testar os dispositivos individualmente antes de habilitar essa configuração de política em larga escala. |
Condições do dispositivo | Exigir bloqueio de dispositivo | Acesso médio/bloco | Android | Essa configuração garante que os dispositivos Android tenham uma senha de dispositivo que atenda aos requisitos mínimos de senha. |
Condições do dispositivo | Atestado de dispositivo Samsung Knox | Bloquear acesso | Android | A Microsoft recomenda configurar a configuração do atestado de dispositivo Samsung Knox para Bloquear o acesso para garantir que a conta de usuário seja bloqueada do acesso se o dispositivo não atender à verificação baseada em hardware da Samsung sobre a integridade do dispositivo. Essa configuração verifica todas as Intune respostas do cliente MAM ao serviço Intune foram enviadas de um dispositivo íntegro. Essa configuração se aplica a todos os dispositivos direcionados. Para aplicar essa configuração apenas a dispositivos Samsung, você pode usar filtros de atribuição "Aplicativos gerenciados". Para obter mais informações sobre filtros de atribuição, consulte Usar filtros ao atribuir seus aplicativos, políticas e perfis em Microsoft Intune. |
Condições do aplicativo | Período de cortesia offline | 21 / Apagar dados (dias) | Windows |
Observação
As configurações de inicialização condicional do Windows são rotuladas como Verificações de Integridade.
Nível 3 de alta proteção de dados empresarial
O nível 3 é a configuração de proteção de dados recomendada como um padrão para organizações com organizações de segurança grandes e sofisticadas ou para usuários e grupos específicos que serão direcionados exclusivamente por adversários. Essas organizações normalmente são alvo de adversários bem financiados e sofisticados e, como tal, merecem as restrições e controles adicionais descritos. Essa configuração se expande após a configuração no Nível 2 restringindo cenários adicionais de transferência de dados, aumentando a complexidade da configuração de PIN e adicionando a detecção de ameaças móveis.
As configurações de política impostas no nível 3 incluem todas as configurações de política recomendadas para o nível 2, mas lista apenas as configurações abaixo que foram adicionadas ou alteradas para implementar mais controles e uma configuração mais sofisticada do que o nível 2. Essas configurações de política podem ter um impacto potencialmente significativo para os usuários ou para aplicativos, impondo um nível de segurança proporcional aos riscos enfrentados pelas organizações de destino.
Proteção de dados
Setting | Descrição da configuração | Valor | Plataforma | Observações |
---|---|---|---|---|
Transferência de dados | Transferir dados de telecomunicações para | Qualquer aplicativo de diálogo gerenciado por políticas | Android | Os administradores também podem configurar essa configuração para usar um aplicativo de diálogo que não dá suporte a Políticas de Proteção de Aplicativo selecionando um aplicativo de diálogo específico e fornecendo os valores De ID do Pacote de Aplicativo Dialer e Nome do Aplicativo Dialer . |
Transferência de dados | Transferir dados de telecomunicações para | Um aplicativo de diálogo específico | iOS/iPadOS | |
Transferência de dados | Esquema de URL do Aplicativo Discador | replace_with_dialer_app_url_scheme | iOS/iPadOS | No iOS/iPadOS, esse valor deve ser substituído pelo esquema de URL para o aplicativo de diálogo personalizado que está sendo usado. Se o esquema de URL não for conhecido, entre em contato com o desenvolvedor do aplicativo para obter mais informações. Para obter mais informações sobre esquemas de URL, consulte Definindo um esquema de URL personalizado para seu aplicativo. |
Transferência de dados | Receber dados de outros aplicativos | Aplicativos gerenciados por política | iOS/iPadOS, Android | |
Transferência de dados | Abrir dados em documentos da organização | Bloquear | iOS/iPadOS, Android | |
Transferência de dados | Permitir que os usuários abram dados dos serviços selecionados | OneDrive for Business, SharePoint, Câmera, Biblioteca de Fotos | iOS/iPadOS, Android | Para obter informações relacionadas, consulte Configurações de política de proteção de aplicativo Android e configurações de política de proteção de aplicativo iOS. |
Transferência de dados | Teclados de terceiros | Bloquear | iOS/iPadOS | No iOS/iPadOS, isso impede que todos os teclados de terceiros funcionem dentro do aplicativo. |
Transferência de dados | Teclados aprovados | Exigir | Android | |
Transferência de dados | Selecionar teclados para aprovar | adicionar/remover teclados | Android | Com o Android, os teclados devem ser selecionados para serem usados com base em seus dispositivos Android implantados. |
Funcionalidade | Imprimir dados da organização | Bloquear | iOS/iPadOS, Android, Windows |
Requisitos de acesso
Setting | Valor | Plataforma |
---|---|---|
PIN simples | Bloquear | iOS/iPadOS, Android |
Selecione Comprimento mínimo do PIN | 6 | iOS/iPadOS, Android |
Redefinir PIN após número de dias | Sim | iOS/iPadOS, Android |
Número de dias | 365 | iOS/iPadOS, Android |
Biometria classe 3 (Android 9.0+) | Exigir | Android |
Substituir a Biometria com PIN após atualizações biométricas | Exigir | Android |
Inicialização condicional
Setting | Descrição da configuração | Valor/Ação | Plataforma | Observações |
---|---|---|---|---|
Condições do dispositivo | Exigir bloqueio de dispositivo | Acesso de Alto/Bloco | Android | Essa configuração garante que os dispositivos Android tenham uma senha de dispositivo que atenda aos requisitos mínimos de senha. |
Condições do dispositivo | Nível máximo permitido de ameaça ao dispositivo | Acesso protegido/bloqueado | Windows | |
Condições do dispositivo | Dispositivos com jailbreak/desbloqueados por rooting | N/A / Apagar dados | iOS/iPadOS, Android | |
Condições do dispositivo | Nível máximo de ameaça permitido | Acesso protegido/bloqueado | iOS/iPadOS, Android | Dispositivos não registrados podem ser inspecionados em busca de ameaças usando a Defesa contra Ameaças Móveis. Para obter mais informações, consulte Defesa contra Ameaças Móveis para dispositivos não registrados. Se o dispositivo estiver registrado, essa configuração poderá ser ignorada em favor da implantação da Defesa contra Ameaças Móveis para dispositivos registrados. Para saber mais, consulte Defesa contra Ameaças Móveis para dispositivos inscritos. |
Condições do dispositivo | Versão máxima do sistema operacional | Formato: Major.Minor Exemplo: 11.0 / Bloquear acesso |
Android | A Microsoft recomenda configurar a versão principal máxima do Android para garantir que versões beta ou sem suporte do sistema operacional não sejam usadas. Consulte Requisitos recomendados do Android Enterprise para as recomendações mais recentes do Android |
Condições do dispositivo | Versão máxima do sistema operacional | Formato: Major.Minor.Build Exemplo: 15.0 / Bloquear acesso |
iOS/iPadOS | A Microsoft recomenda configurar a versão principal máxima do iOS/iPadOS para garantir que versões beta ou sem suporte do sistema operacional não sejam usadas. Confira Atualizações de segurança da Apple para as recomendações mais recentes da Apple |
Condições do dispositivo | Versão máxima do sistema operacional | Formato: Major.Minor Exemplo: 22631. / Bloquear acesso |
Windows | A Microsoft recomenda configurar a versão principal máxima do Windows para garantir que versões beta ou sem suporte do sistema operacional não sejam usadas. |
Condições do dispositivo | Atestado de dispositivo Samsung Knox | Apagar os dados | Android | A Microsoft recomenda configurar a configuração de atestado do dispositivo Samsung Knox para apagar dados para garantir que os dados da organização sejam removidos se o dispositivo não atender à verificação baseada em hardware da Samsung sobre a integridade do dispositivo. Essa configuração verifica todas as Intune respostas do cliente MAM ao serviço Intune foram enviadas de um dispositivo íntegro. Essa configuração se aplicará a todos os dispositivos direcionados. Para aplicar essa configuração apenas a dispositivos Samsung, você pode usar filtros de atribuição "Aplicativos gerenciados". Para obter mais informações sobre filtros de atribuição, consulte Usar filtros ao atribuir seus aplicativos, políticas e perfis em Microsoft Intune. |
Próximas etapas
Os administradores podem incorporar os níveis de configuração acima dentro de sua metodologia de implantação de anel para teste e uso de produção importando o exemplo Intune modelos JSON da Estrutura de Configuração de Política de Proteção de Aplicativo com os scripts do PowerShell do Intune.
Confira também
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de